Компания NordPass совместно с подразделением NordStellar и независимыми исследователями опубликовала ежегодный отчёт "Top 200 Most Common Passwords" за 2025 год. Аналитики изучили данные из публичных утечек и репозиториев теневого сегмента сети за период с сентября 2024 по сентябрь 2025 года и составили рейтинг самых распространённых паролей в 44 странах. Отдельно в этом году специалисты впервые провели поколенческий анализ, охвативший пользователей от "молчаливого поколения" (родившихся до 1946 года) до поколения Z (1997-2007 годов рождения). Основной вывод оказался обескураживающим: качество паролей практически не зависит от возраста.
Лидером рейтинга в шестой раз за семь лет стала комбинация "123456" - она была обнаружена в утечках 21,6 миллиона раз. На втором месте "admin" (21 миллион), на третьем - "12345678" (8,3 миллиона). Замыкают десятку "123456789", "12345", "password", "Aa123456", "1234567890", "Pass@123" и "admin123". Всего в списке - две сотни позиций, и подавляющее большинство составляют простые числовые последовательности, очевидные слова вроде "password", "guest", "secret" или "welcome", а также их вариации с добавлением цифр и специальных символов.
Сама по себе техника не нова. Однако авторы отчёта решили проверить, насколько различаются парольные привычки у разных возрастных групп. Для этого данные были сопоставлены с метаинформацией, включавшей даты рождения, где это было возможно. Ожидалось, что представители поколения Z - "цифровые аборигены", выросшие в интернете, - будут более осознанно подходить к безопасности. Результаты показали обратное: "12345" и "123456" оказались самыми популярными паролями во всех пяти поколениях.
Под ударом оказались стереотипы. У поколения Z в десятку вошло слово "skibidi" (вероятно, отсылка к интернет-мему), у миллениалов - турецкое имя собственное "mustufaj", у поколения X - испанское "contraseña" (пароль) и женские имена "veronica", "lorena", "valentina". Для беби-бумеров и "молчаливого поколения" список выглядел похоже: на первых местах те же числовые последовательности, затем простые женские имена на испанском (maria, susana, silvia, graciela, monica, claudia). Это подтверждает гипотезу, что географические и культурные факторы влияют на выбор пароля сильнее, чем возраст.
Как отмечают авторы отчёта, "миф о цифровых аборигенах развенчан: парольные привычки 18-летнего пользователя поразительно похожи на привычки 80-летнего". Исследователи указывают, что, несмотря на многолетние кампании по повышению осведомлённости в области кибербезопасности, существенного улучшения парольной гигиены не произошло. С каждым годом растёт количество утечек, а пользователи по-прежнему выбирают удобство в ущерб безопасности.
Инцидент обнажает системную проблему: даже там, где пароль формально соответствует требованиям (содержит заглавные буквы, цифры и спецсимволы), он остаётся предсказуемым. В топ-200 входят "Pass@123", "Admin@123", "Aa123456" и "P@ssw0rd" - комбинации, которые легко подбираются автоматизированными инструментами. Например, "Pass@123" занял 9-ю строчку с 1,2 миллиона повторений, а "P@ssw0rd" - 15-ю с 770 тысячами.
Ещё один важный вывод касается культурных особенностей. В каждой из 44 стран исследователи нашли локальные паттерны: пароли часто включают распространённые имена и фамилии, иногда с привязкой к году рождения (например, "kristian123" или "Joan89"). В глобальный рейтинг такие вариации попадают редко, но в разрезе отдельных государств они составляют значительную долю утечек.
Ситуация движется к тому, что простые образовательные меры перестают работать. Если даже после семи лет публикации аналогичных рейтингов "123456" остаётся самым популярным паролем, значит, необходимы либо более жёсткие технические ограничения на стороне сервисов, либо переход к беcпарольным методам аутентификации. Пока же пользователи продолжают рисковать своими данными, а злоумышленники - собирать урожай с одних и тех же комбинаций.
